Windows 10 19042.572 Defender Ausschlüsse alle verschwunden

[lightman]

Nein, ohne Nsudo kann ich da nichts ändern, da SYSTEM der Besitzer ist. Müsste RegEdit als SYSTEM und die Vererbung deaktivieren bzw. in dem Schlüssel die Veränderung durchführen, von welchem aus vererbt wird. Ansonsten geht das nicht.

OK, mit PowerShell kann man den Spaß auslesen (Neuinstallation 19042.630, Defender 4.18.2010.7):

Code: Alles auswählen

Path   : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
Owner  : NT-AUTORITÄT\SYSTEM
Group  : NT-AUTORITÄT\SYSTEM
Access : Jeder Allow  -1610612736
         Jeder Allow  ReadKey
         NT-AUTORITÄT\SYSTEM Allow  FullControl
         NT-AUTORITÄT\SYSTEM Allow  268435456
         VORDEFINIERT\Administratoren Allow  ReadKey
         VORDEFINIERT\Administratoren Allow  -1610612736
         NT SERVICE\TrustedInstaller Allow  FullControl
         NT SERVICE\TrustedInstaller Allow  268435456
         NT SERVICE\WinDefend Allow  FullControl
         NT SERVICE\WinDefend Allow  268435456
         ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE Allow  -2147483648
         ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE Allow  ReadKey
         ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE EINGESCHRÄNKTEN ANWENDUNGSPAKETE Allow  ReadKey
         ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE EINGESCHRÄNKTEN ANWENDUNGSPAKETE Allow  -2147483648
         S-1-15-3-1024-3153509613-960666767-3724611135-2725662640-12138253-543910227-1950414635-4190290187 Allow  ReadKey
         S-1-15-3-1024-3153509613-960666767-3724611135-2725662640-12138253-543910227-1950414635-4190290187 Allow  -2147483648

Kann man das jetzt auch importieren? ACL und Registry, gute Frage. So etwas habe ich noch nicht gemacht.

Kann man eigentlich Berechtigungen exportieren, ich denke mal nicht ?

[Tante Google]

[DK2000]

Was mich interessieren würde, wie sieht das hier aus mit den Rechten:

Code: Alles auswählen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender

Von da aus wird alles vererbt.

[lightman]

Ich werde später mal testen die fehlenden genannten zu zufügen, da ich mir Sorgen mache, dass jeder Angreifer bei diesem System den Defender doch wohl ohne Probleme aushebeln kann, oder ??

[lightman]

Was mich interessieren würde, wie sieht das hier aus mit den Rechten:

Code: Alles auswählen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender

Von da aus wird alles vererbt.

hier, recht einfache Rechte:

defender2.png

bei Jeder sind nur Leserechte; und wer ist eigentlich unbekanntes Konto ? Diesem Schlüssel hatte ich zuerst sogar genommen und dort Benutzer zugefügt, doch wegen Sicherheitsbedenken, dann wieder gelöscht; und das ging alles ohne Meckerei, seltsam.

[DK2000]

Gute Frage. Eigentlich sollte der Manipulationsschutz so etwas verhindern. Aber keine Ahnung.

Aber irgendwie fehlen in ~\Windows Defender auch die drei Gruppen. Mysteriös. Es fehlen ja nur die drei Gruppen:

Code: Alles auswählen

NT-AUTORITÄT\SYSTEM Allow  FullControl
NT-AUTORITÄT\SYSTEM Allow  268435456
NT SERVICE\TrustedInstaller Allow  FullControl
NT SERVICE\TrustedInstaller Allow  268435456
NT SERVICE\WinDefend Allow  FullControl
NT SERVICE\WinDefend Allow  268435456

Der Rest passt wohl.

[lightman]

Genau das denke ich auch, der Manipulationsschutz geht wohl nicht richtig, da haben wir mal wieder ein Problemchen entdeckt

[DK2000]

Gerade mal getestet:

Wenn ich die drei fehlenden Gruppen aus Exclusions rausnehme, dann werden keine Ausschlüsse mehr angezeigt.

Allerdings, wenn ich diese Drei auch aus Windows Defender rausnehme, dann startet der Defender nicht mehr.

Das ist dann aber komisch, dass er bei Dir noch läuft.

[lightman]

ich hatte auch getestet, bei Exclusions habe ich jetzt TrustedInstaller, Windefend, System zugefügt, bei Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender, habe ich noch den Trusted Installer zugefügt, wenn ich hier aber noch den Windefend zufüge , so sehe ich wieder nichts.
PS:
musste erst mal googlen, wie der Trusted Installer zugefügt wird, https://www.deskmodder.de/wiki/index.ph ... r_wechseln, genauso windows defender also NT Service\TrustedInstaller und NT Service\windefend. Wir sind ja nicht alle Profis.

Hmmmm....
was meint ihr, ob der Defender hier bei meinem System überhaupt ok ist, wenn nicht kommt, ne andere Platte rein oder Backup eines anderen Systems und übrigens läuft die Insider recht gut, viewtopic.php?f=348&t=24564

habe mal eicar Test Virus geladen und Quarantäne gewählt, da steht aber nichts von löschen oder entfernen ?

eicar.png

eine Datei hatte ich schon im Edge gelöscht, nach Gemeckere, dann waren die anderen temporär ?, sorry, momentan bin ich jetzt etwas verwirrt.

[lightman]

Gerade mal getestet:

Wenn ich die drei fehlenden Gruppen aus Exclusions rausnehme, dann werden keine Ausschlüsse mehr angezeigt.

Allerdings, wenn ich diese Drei auch aus Windows Defender rausnehme, dann startet der Defender nicht mehr.

Das ist dann aber komisch, dass er bei Dir noch läuft.

und bei mir gehts von vornherein nach Eintrag der Benutzer ohne Probleme, obwohl diese drei nicht vorhanden waren ?????

[lightman]

So etwas in der Art hatte ich damals in der VM versucht gehabt, nur hatte ich da als Benutzer nicht Jeder sondern mich selbst als Benutzer die entsprechenden Rechte vergeben. Denn als als Benutzer Administrator hatte ich in der VM die Ausschlüsse in der GUI sehen können.

@Grenso
hast du zufällig noch ein " defektes Defender System " zum testen ?, wäre schön.

[GrenSo]

@Grenso
hast du zufällig noch ein " defektes Defender System " zum testen ?, wäre schön.

Leider nein, da sowohl in der VM, als auch im normalen Windows, wenn auch jeweils mit einer Insider-Build des Defenders, alles wunderbar und ohne ersichtliche Probleme funktioniert.

[lightman]

wer ist denn der richtige Besitzer in der Registry, Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender, bei mir die Administratoren, habe jetzt den Besitzer auf TrustedInstaller und Haken bei Besitzer der Objekte und untergeordneten Container ersetzen.
Kann natürlich bei den anderen Win10 mal gucken.

[DK2000]

Besitzer ist SYSTEM. Das vererbt sich dann von hier aus in alle anderen Schlüssel in ~\Windows Defender

[lightman]

Besitzer ist SYSTEM. Das vererbt sich dann von hier aus in alle anderen Schlüssel in ~\Windows Defender

Ja, beim anderen System auch System, werde ich also besser auf System ändern, hmmm, ob das alles so richtig ist, was bei dem System mit dem Defender los ist in der Registry ?